מסע מתקפות סייבר, שעלול לכוון לריגול סייבר, מדגיש את האופי המתוחכם יותר ויותר של איומי סייבר המכוונים לקבלני הגנה בארה"ב ובמקומות אחרים.
הקמפיין הסמוי, שחוקרים ב-Securonix זיהו ועוקבים אחריו כ-STEEP#MAVERICK, פגע במספר קבלני נשק באירופה בחודשים האחרונים, כולל ספק פוטנציאלי לתוכנית מטוסי הקרב האמריקאית F-35 Lightning II.
מה שעושה את הקמפיין ראוי לציון על פי ספק האבטחה הוא תשומת הלב הכוללת שהתוקף הקדיש לאבטחת פעולות (OpSec) ולהבטחת התוכנה הזדונית שלו קשה לזיהוי, קשה להסרה ומאתגרת לניתוח.
לשלב הזדוניות מבוסס PowerShell בשימוש בהתקפות יש "הציג מערך של טקטיקות מעניינות, מתודולוגיית התמדה, זיהוי פלילי נגד שכבות על שכבות של ערפול כדי להסתיר את הקוד שלה", אמר Securonix בדו"ח השבוע.
יכולות זדוניות לא שכיחות
נראה כי הקמפיין STEEP#MAVERICK יצא לדרך בסוף הקיץ עם התקפות על שני קבלני הגנה בעלי פרופיל גבוה באירופה. כמו מסעות פרסום רבים, שרשרת התקיפה החלה בדוא"ל דיוג חנית שהכיל קובץ דחוס (.zip) עם קובץ קיצור (.lnk) למסמך PDF המתאר כביכול את יתרונות החברה. Securonix תיארה את דוא"ל ההתחזות כדומה לזה שבו נתקלה בקמפיין מוקדם יותר השנה הכולל קבוצת האיומים APT37 (aka Konni) של צפון קוריאה.
כאשר קובץ ה-.lnk מבוצע, הוא מפעיל את מה ש-Securonix תיארה כ"שרשרת די גדולה וחסונה של מדדים", כל אחת מהן כתובה ב-PowerShell וכוללת עד שמונה שכבות ערפול. התוכנה הזדונית כוללת גם יכולות נרחבות נגד זיהוי פלילי ונגד באגים הכוללות ניטור שורה ארוכה של תהליכים שיכולים לשמש לחיפוש אחר התנהגות זדונית. התוכנה הזדונית נועדה להשבית רישום ולעקוף את Windows Defender. הוא משתמש במספר טכניקות כדי להתמיד במערכת, כולל על ידי הטמעת עצמה ברישום המערכת, על ידי הטבעה כמשימה מתוזמנת ועל ידי יצירת קיצור דרך להפעלה במערכת.
דובר של צוות מחקר האיומים של Securonix אומר שהמספר והמגוון של בדיקות אנטי-אנליזה ואנטי-ניטור של התוכנה הזדונית הם יוצאי דופן. כך גם המספר הגדול של שכבות ערפול עבור מטענים וניסיונות של תוכנת זדונית להחליף או ליצור מטענים חדשים של פקודה ושליטה (C2) בהתאמה אישית בתגובה לניסיונות ניתוח: "כמה טכניקות ערפול, כמו שימוש ב-PowerShell Get- כינוי לביצוע [cmdlet invoke-expression] נראים לעתים רחוקות מאוד."
הפעילויות הזדוניות בוצעו באופן מודע ל-OpSec עם סוגים שונים של בדיקות אנטי-אנליזה וניסיונות התחמקות לאורך המתקפה, בקצב מבצעי גבוה יחסית עם מטענים מותאמים אישית שהוזרקו.
"בהתבסס על הפרטים של המתקפה, אכילה אחת עבור ארגונים אחרים היא תשומת לב נוספת לניטור כלי האבטחה שלך", אומר הדובר. "ארגונים צריכים להבטיח שכלי אבטחה עובדים כצפוי ולהימנע מהסתמכות על כלי אבטחה או טכנולוגיה בודדים כדי לזהות איומים."
איום סייבר הולך וגובר
קמפיין STEEP#MAVERICK הוא רק האחרון במספר הולך וגדל שכוון לקבלנים וספקים ביטחוניים בשנים האחרונות. רבים מהקמפיינים הללו כללו שחקנים הנתמכים על ידי המדינה הפועלים מסין, רוסיה, צפון קוריאה ומדינות אחרות.
בינואר, למשל, הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA) פרסמה אזהרת התרעה מפני שחקנים בחסות המדינה הרוסית המכוונים ל-CDCs שמכונה קבלני הגנה מסולקים (CDCs) בהתקפות שתוכננו לגנוב מידע וטכנולוגיה ביטחונית אמריקאית רגישים. ההתראה של CISA תיארה את ההתקפות כמכוונות למגוון רחב של CDCs, כולל אלה המעורבים בפיתוח מערכות לחימה, טכנולוגיות מודיעין ומעקב, פיתוח כלי נשק וטילים ותכנון כלי קרב וכלי טיס.
בפברואר, חוקרים בפאלו אלטו נטוורקס דיווחו על לפחות ארבעה קבלני ביטחון אמריקאיים שמכוונים לקמפיין להפצה דלת אחורית חסרת קבצים ושקעים בשם SockDetour. ההתקפות היו חלק ממסע פרסום רחב יותר שספק האבטחה חקר יחד עם הסוכנות לביטחון לאומי בשנת 2021, הכולל קבוצה מתקדמת סינית מתמשכת. קבלני הגנה ממוקדים וארגונים במגזרים רבים אחרים.
קבלני ביטחון: פלח פגיע
מה שמוסיף לחששות מההיקף הגובר של מתקפות סייבר היא הפגיעות היחסית של קבלני הגנה רבים, למרות שיש להם סודות שיש לשמור עליהם היטב.
מחקר שנערך לאחרונה שערך עפיפון שחור על שיטות האבטחה של 100 קבלני ההגנה המובילים בארה"ב הראה שכמעט שליש (32%) הם פגיע להתקפות כופר. הסיבה לכך היא גורמים כמו אישורים שדלפו או נפגעו, ופרקטיקות חלשות בתחומים כמו ניהול אישורים, אבטחת יישומים ואבטחת שכבת אבטחה/שכבת תחבורה.
שבעים ושניים אחוז מהמשיבים בדו"ח העפיפון השחור חוו לפחות תקרית אחת הכוללת אישור שדלף.
יכול להיות אור בקצה המנהרה: משרד ההגנה האמריקני, בשיתוף עם בעלי עניין בתעשייה, פיתח סדרה של שיטות עבודה מומלצות לאבטחת סייבר שבהן קבלנים צבאיים יכולים להשתמש כדי להגן על נתונים רגישים. במסגרת תוכנית הסמכת מודל הבגרות של אבטחת הסייבר של DoD, קבלני ביטחון נדרשים ליישם את הפרקטיקות הללו - ולקבל אישור שיש להם - כדי להיות מסוגלים למכור לממשלה. החדשות הרעות? השקת התוכנית נדחה.
